大家好,今天来为大家解答服务器加固这个问题的一些问题点,包括什么是服务器安全加固系统也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下本站哦,谢谢~
一、如何加固主机系统
从实际运作的层面来看,IT安全问题围绕三个基本事实:其一,IT系统不可能绝对可靠地识别用户的身份。其二,授权用户可能会被利用;其三,如果*获得了对主机的访问权,那么该主机就可能被闯入。后者,即为主机加固安全,是极其重要的一道防线。
方面,主机等高价值目标往往吸引的是*中的高手;另一方面,如果保存在主机上的数据越重要,用户对它的安全投入就越大,正所谓是“魔高一尺,道高一丈”的较量。
在过去的几年间,现实世界的一些犯罪组织一直在积极招揽*,从事针对某些目标的犯罪活动,比如最近*试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和*行为,这意味着单单在主机和因特网之间设置*能可靠的防火墙已不足以保护你的数据。
如今,*完全有可能透过防火墙将*工具装入网络发动内部进攻。由于众多*工具在网上能够免费获得,加上USB存储设备随手可得,只要闲置的USB端口能够实际访问公共场所(比如接待处),就有可能利用网络上的任何PC发动攻击。为此,你要开始考虑对主机进行加固,以防从网络内部发动的攻击。
断开网络连接
要加强主机安全,最明显的一个办法就是,把主机与不需要连接的部分断开。如果*无法碰到主机,非法闯入也就无从谈起。
关闭端口
提高主机安全的第二个办法就是,真正使用主机内置的安全特*。比如,默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易,但取很少有网络管理员去修改。如果用户对某个文件没有拥有权,就不应该享有自动访问该文件的权限。如果你改了配置,那么即便*闯入了某个账户,他也未必能够访问该主机上的所有文件。
另外,对外开的端口越少,*用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务,主机上运行的进程越少,意味着*可以利用的潜在故障以及安全漏洞就越少。
限制访问
你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限,并不意味着有权可以管理其他功能,比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便,但它却使非法闯入数据库的难度加大了一倍,因为*必须攻破两个用户身份和口令。同样,你可以把其他管理任务授权给特定的用户组,但不授予主机(或者网络)的全局管理权限。比如说,你可以允许用户管理打印机,但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实,大多数操作系统都内置了所有这些特*,你根本用不着投入资金,需要的只是学习并使用这些特*。
加强保护
视主机操作系统和运行的网络环境而定,你可以要求使用令牌或者生物识别技术进行验证,用于管理员对任何主机进行访问,你还可以限制管理员只能访问安全区域的某个子网。这样,如果管理员想添加一个新用户,就必须在特定的安全区域,通过特定子网上的PC来进行添加,还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。
改变操作系统
不过,如果你需要更高的安全级别,恐怕就得采用专门技术了。不要单单把Windows作为服务器的操作系统。Windows是一款非常流行的服务器操作系统,但每个*都知道,就潜在回报而言,花时间查找Windows操作系统的安全漏洞,远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证,Unix较之Windows也有一个优点:你可以重新构建内核,只包含主机中真正需要的那些部分。相比之下,Windows在这方面的内核随带了大量的代码,你没法删除,也没法全部关闭。
二、什么是主机加固主机加固的厂商有哪些
1.主机加固实质上就是服务器系统安全加固,可以防止*病**、防止核心数据被破坏、重要机密要篡改窃取,保障终端系统的安全等级。
2.互联网环境下,提示主机的防护能力、满足等级保护要求势在必行,各大企业也加入了主机加固建设的行列。
3.目前主机加固的厂商主要有域之盾、网管家、中科安企等。他们基本上都是成立时间比较久的厂商,可以重新定义操作系统的功能模块,构建独立的身份鉴别系统,当杀*软件、防火墙等无能为力时,主机仍能处于保护状态。
4.一方面能预防内部系统不经意泄密,另一方面能有效防范外部风险攻击。差别化弥补主机保护短板,系统化提示终端计算机的保护能力。
三、Windows 的服务器安全加固方案
因为IIS(即Inter Information Server)的方便*和易用*,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全*却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到*的攻击,造成严重的后果。
我们通过以下几个方面对您的系统进行安全加固:
1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全*。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全*,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全*,例如sql的安全配置以及服务器应用软件的安全加固。
系统的安全加固:
1.目录权限的配置:
1.1除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。
1.4配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
1.5配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将 cmd.exe、ftp.exe、.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。
1.6审核MetBase.bin,C:WINNTsystem32isrv目录只有administrator只允许Administrator用户读写。
2.组策略配置:
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
启用不允许匿名访问SAM帐号和共享;
启用不允许为网络验证存储凭据或Passport;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
启用交互登录:不显示上次的用户名;
启用在下一次密码变更时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登录;
3.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
四、什么是服务器安全加固系统
服务器安全加固系统即SSR,例如中超伟业SSR服务器安全加固系统,采用内核加固技术,在操作系统核心层设置一个自主可控的安全壳,拦截威胁对资源的访问行为,按照智能的白名单控制访问策略,确保系统中人员、应用程序可信,权限可控,全面保护加固操作系统。
五、加固服务器,加固是指软件加密还是硬件的防护
加固服务器是给服务器上一把锁,一些企业使装了杀*软件,部署了防火墙,并定时打补丁,但仍然会有各种风险,各种中*,各种被*的风险。
推荐使用软件加密MCK云私钥,计算机安全防护加固系统,重新定义操作系统各模块的功能,构建独立的身份鉴别体系,在当杀*软件、防火墙都不起作用时,仍然能顽强的对核心数据进行保护,防止*病**,防止核心数据被*、被破坏、被篡改、被偷走!